L'expert en sécurité mondialement connu, Bruce Schneier a publié un article assez étrange hier sur son blog. En gros, il explique que plusieurs sociétés (dont il ne donne pas les noms) fournissant l'infrastructure de base d'Internet, sont régulièrement "testées".

Testées comment ?

Et bien par des attaques DDoS (déni de service) qui sont beaucoup plus massives, qui durent plus longtemps et qui sont beaucoup plus complexes que ce qu'on a l'habitude de voir. De plus, il a relevé une certaine méthodologie dans ces attaques. Un jour, elles commencent doucement avant de grossir pour s'arrêter. Un autre jour, elles commencent de manière très importante et restent à ce niveau pendant la durée de l'attaque...etc.

Pour lui, ces attaques sont mises en oeuvre de telle sorte qu'elles permettent de découvrir les défenses des sociétés visées. C'est donc un genre de test grandeur nature qui emploie plusieurs vecteurs d'attaques, obligeant les sociétés à répliquer avec tout l'arsenal qu'elles possèdent.

Toujours d'après lui, ces attaques proviendraient d'une puissance étrangère genre la Chine ou la Russie. L'objectif serait de tester l'infrastructure d'Internet pour pouvoir tout saturer le moment venu pour en gros "couper Internet". Evidemment, impossible de réellement savoir ce qui se cache derrière ces attaques, mais cela pourrait tout aussi bien être l'Arabie saoudite ou les États-Unis... États-Unis qui d'ailleurs auraient dans sa boite à outils un truc de ce genre... Le fameux "Kill switch".

J'ai aussi lu dans la presse que les services de contre-espionnage américains enquêtent sur une "opération secrète menée à grande échelle par la Russie pour miner la confiance des électeurs américains dans leur système électoral et dans leurs institutions". En gros, la Russie est suspectée de vouloir foutre le bordel le 8 novembre prochain lors des élections présidentielles américaines.

Et la conclusion de Bruce est : On ne peut rien y faire. On ne sait donc pas grand chose mais tout ça ne laisse rien présager de bon...

Enfin, ce jour là, s'il arrive, on ira à la pêche ou se balader en forêt (sauf si la coupure de net est couplée avec le lancement de quelques missiles nucléaires, bien sûr ;-))).

Cet article merveilleux et sans aucun égal intitulé : Quelqu’un serait en train d’apprendre à paralyser Internet ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Cet été, comme j'étais en Bretagne, j'en ai profité pour passer voir l'ami JcFrog. Et entre 2 brochettes, il m'a parlé d'un outil qui je pense va vous intéresser.

Son nom : Websocketd. Ce soft vous permet de rendre accessible sur le web n'importe quel outil en ligne de commande. Oui c'est le grand retour du CGI diront les plus vieux. :-)

Prenons par exemple ce petit bout de code en script bash :

Celui-ci boucle jusqu'à 10 et énumère les chiffres de 1 à 10 en sortie.

Lancez ensuite websocketd comme ceci en précisant le port et le programme à exécuter :

Maintenant que websocketd a la main sur votre petit soft, il suffit de s'y connecter en JavaScript et récupérer les infos en sortie :

Et voici ce qu'on obtient, un décompte de 1 à 10 en HTML dans le navigateur.

Bon, ça, c'est un peu l'exemple de base, mais je vous laisse imaginer tous les trucs de ouf que vous allez pouvoir faire avec ça. Vous pouvez récupérer toutes les sorties de n'importe quel soft qui fonctionne en ligne de commande, et cela, peu importe son langage de dev initial, et le présenter proprement dans vos pages web, sur votre site.

Mais ce n'est pas tout ! Vous pouvez aussi transmettre de l'info depuis une page web à votre soft comme expliqué dans cet exemple. Top non ?

Je sens que ça va pisser de la moulinette cet aprèm :-)

+ d'infos ici.

Cet article merveilleux et sans aucun égal intitulé : WebSocketd – Faites communiquer vos pages web avec vos outils en ligne de commande ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous avez pour habitude d'utiliser YouTube comme source musicale principale, je vous présente Kaku, un player musical open source (licence MIT) qui fonctionne plutôt pas mal.

Comme la plupart des clients de ce genre, Kaku propose les morceaux en vogue sur YouTube, la possibilité de faire des recherches, et vous pouvez voir la vidéo en petit en bas à gauche, avec possibilité de la passer en plein écran ou de la caster sur votre TV.

Evidemment, l'intérêt principal de ce genre d'application est de vous permettre de créer des playlists, et avec Kaku, c'est possible.

Notez que dans les paramètres, Kaku propose des options intéressantes comme le choix de la langue et le Top du pays de votre choix. La sélection musicale ne s'arrête pas non plus à YouTube puisque Kaku propose aussi d'utiliser Vimeo ou Soundcloud comme source de musique.

Les sources de Kaku sont téléchargeables et des versions pour Linux, OSX et Windows sont également disponibles.

Source

Cet article merveilleux et sans aucun égal intitulé : Kaku – Un lecteur musical Youtube / Soundcloud / Vimeo en open source ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Alors là c'est craignos puisque 2 failles 0day assez critiques viennent d'être découvertes dans MySQL.

CVE-2016-6662 et CVE-2016-6663 permettraient à un attaquant de prendre le contrôle total de la base de données, et cela, peu importe la version de MySQL (5.7, 5.6, et 5.5) ou du fork.

Le chercheur Dawid Golunski n'a pas encore publié la CVE-2016-6663, mais en ce qui concerne la CVE-2016-6662, celle-ci permet d'injecter des paramètres dans la configuration de MySQL voire carrément d'utiliser un autre fichier de config. Pour arriver à cela, le hacker doit évidemment exploiter une injection SQL ou avoir un accès minimal à la base MySQL (via un phpmyadmin ou autre) et une fois ses modifications apportées à la config, il doit attendre que MySQL soit relancé.

La faille se situe dans le script mysql_safe qui est exécuté en root et même si des modules de sécurité sont déployés au niveau du noyau comme SELinux ou AppArmor, cela ne change rien.

En ce qui concerne les forks, MariaDB et PerconaDB, ils ont été patché. Par contre Oracle, informé depuis le 29 juillet ne fera rien avant le 18 octobre.

Pas cool, surtout que les patchs des autres peuvent permettre de retrouver la faille et donc de l'exploiter. Golunski a donc décidé de publier les détails du 0day ainsi qu'un proof of concept, pour informer le public et probablement forcer un peu la main à Oracle.

Mais en attendant le 18 octobre, il est possible de contourner le problème en faisant en sorte que les fichiers de config de MySQL n'appartiennent pas à l'utilisateur mysql et créer un faux fichier de config my.cnf appartenant à root mais non utilisé. Ce n'est pas l'idéal, mais c'est mieux que rien !

Cet article merveilleux et sans aucun égal intitulé : Des failles 0day mettent à mal MySQL et il faudra patienter à poil dans la neige encore un mois avant d’avoir un correctif ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Le maker Daniel Chote a mis en ligne un super tuto qui explique comment se fabriquer des talkies-walkies avec de l'impression 3D et des Raspberry Pi.

Ce projet nommé talkiepi ne fonctionne pas exactement comme un vrai talkie-walkie puisque les appareils communiquent en Wifi grâce à Mumble, un outil de VoIP bien connu des gamers. Mais le résultat est le même.

Niveau interface, des diodes et un bouton poussoir sont connectés au port GPIO du Raspberry pour donner des infos visuelles et déclencher la transmission de la voix.

Je trouve ça sympa comme projet DIY, même si j'en ferai plus des interphones sans fil que des talkies-walkies. À essayer chez vous si vous avez une grande maison et que votre famille aime bien s'y éparpiller.

Source

Cet article merveilleux et sans aucun égal intitulé : Talkiepi – Des talkie walkie à base de Raspberry Pi ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.